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^Systeme et proc6d§s d'acc^s securis6 ^ un serveur informatique 

utilisant ledit systeme" 

La presente invention concerne un syst^nne permettant 
d'augmenter le niveau de securisation du protocole d'authentification 
du demandeur d'accds h un serveur informatique et deux proc^des 
mettant en oeuvre ledit syst^me. 

Le demandeur d'accds ou client utilise en pratique un ordinateur 
individuel muni de moyens de connexion d un reseau de 
communication, par example le reseau Internet. 

Le " serveur " est constitu6 d'un ordinateur muni de moyens de 
connexion au meme reseau. II sert d mettre en relation le client avec 
divers services tels que des bases de donn^es. 

La procedure d'acces au serveur pour un client se dSroule 
classiquement en trois phases : 

- Tacces au site serveur via Tetabiissement d'une connexion (par 
example TCP/IP), via un reseau g^neraliste ou prive de 
transmission de donnees (par example Internet) ; 

- Tentree d'une identification ; et 

- I'entree d'un mot de passe client. 

L'acc^s est refuse si le couple [identification / mot de passe 
client] n'est pas conforme aux informations stock^es dans une base de 
donnees dite d'"authentification " g6r6e par le serveur lui-meme ou par 
_ ua serveur interm^diaire adapt^. 

Les procedures connues pr6sentent un certain nombre de 
faiblesses vis-a-vis de malveillances, telles que le vol des couples [code 
d' identification / mot de passe] via un logiciel de recherche 
automatique de mot de passe ou une complicity du cdt^ " serveur " 
permettant de connaTtre le contenu de la base de donnees 
d'authentification. 

Diverses solutions sent connues pour renforcer la securisation de 
racers : 



- cote serveur un dispositif auxiliaire permettant la g6n6ration de 
mots de passe al6atoires et/ou crypt6s, mais n^cessitant la 
possession par le client d'un appareil synchronise avec le 
serveur, g6nerant un mot de passe pseudo-al6atoire et de courte 
duree de vie en fonction de la date et de Theure ; 

- la dotation des ordinateurs individuals d'un p6ripherique lecteur 
d'une carte electronique (" carte d puce securisant I'acces 
selon un protocole similaire ^ celui utilise pour les cartes 
bancaires ; le client doit done disposer d'une telle carte et d'un 
p§riph6rique special sur le terminal d partir duquel if se connecte 
au r^seau ; 

■ r identification de la machine du client par un code 
d 'identification tel que celui Integra par le constructeur sur ses 
microprocesseurs ; Tacces est s6curise par identification du 
ou des composants connus du serveur ; Tinconv^nient est 
qu'en dehors des machines dOment r^pertoriSes, le client ne 
peut effectuer aucun acc&s. 
Par ailleurs, les syst^mes de cryptage connus, tels que 
Talgorithme RSA, n^cessitent des puissances de calcul importantes 
pour obtenir un bon niveau de s^curit^. 

La presente invention a pour objet de proposer une autre 
solution qui soit tres fiable et peu couteuse. 

Elle propose un systeme d'accds securise k un serveur 
informatique, comportant: 

- un site client comprenant des moyens d'acces ^ un r^seau de 
transmission de donn^es et une unitd centrale de contrdle et de 
traitement de donn^es ; et 

- un site serveur comprenant des moyens d'accds audit r6seau de 
transmission de donnees et une unit6 centrale de commande et de 
traitement de donnees pr^vue notamment pour g^rer un protocole 
d'authentification du client utilisateur du site client. 
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caract^risS en ce que : 

- le site client connprend en outre un t6l6phone mobile ; et 

- le site serveur comprend en outre : 

- des moyens de connexion au r6seau de telephonic mobile dudit 
5 telephone mobile ; 

- une base de donn^es d'authentification comprenant une donnde 
d'identification du client et un numSro de telephone mobile associe ; 

- des moyens d'appel du num6ro du telephone mobile du client ; 

- des moyens de synthase vocale ; et 

10 - des moyens d'authentification d'un mot de passe d'authentification 
re9U par le site serveur via le reseau de transmission de donn^es. 

L'id^e d la base de la pr^sente invention est done de faire 
intervenir dans le protocole d'authentification un telephone mobile, le 
site serveur ^tant muni de moyens lui permettant d'appeler le 

1 5 telephone mobile et de lul transmettre un message vocal. 

Le systeme selon {'invention n'exige du c6t§ du site client aucun 
dispositif informatique special d'identification, integre ou p^riph^rique. 
II requiert la possession d'un telephone mobile ordinaire, appareil qui 
tend ^ se g^n^raliser parmi les professionnels et les particuliers. Le 

20 coQt d'Squipement cdt6 serveur reste ^galement modeste puisque 
notamment un modem standard du type comportant une unit6 de 
synthase vocale peut §tre utilise pour r^aliser la connexion avec le 
reseau de tSl^phonie mobile. 

Un autre avantage selon I'invention reside dans le fait que ni le 

25 poste serveur, ni le poste client ne necessitent de puissances de calcul 
importantes compar^es aux systimes de cryptage de T^tat de la 
technique, d'oCi une forte reduction des coQts pour un systdme selon 
I'invention. 

La s^curisation apportde par le syst&me selon invention est 
30 renforc^e par la procedure d'identification du telephone mobile lui- 
meme par son reseau d'abonnement. Cette procedure met en oeuvre 
dans le cas de la norma GSM un composant Slectronique specif ique 



(carte SIM) branch^ sur I'appareil, et la possibility pour le client d'avoir 
un mot de passe modifiable (code PIN) qui doit etre saisi lors de la mise 
en marche du t6l§phone. 

En cas de vol du t6l6phone mobile ou du composant SIM, celui- 
ci peut instantan^ment etre mis hors service pour Tensemble des 
reseaux GSM sur un simple appel au foumisseur d'abonnement du 
telephone mobile. On pourra prSvoir 6galement que suivant une 
declaration de vol, Tacces au r^seau sera automatiquement ferm^. 

Le systdme selon Tinvention permet de r^utiliser les procedures 
existantes en ajoutant un niveau de security. II peut s'appliquer en 
complement de n'importe quel logiciel d'accds. 

Ainsi, la donn^e d'identiflcation demand6e au client peut etre le 
couple [code d'identification / mot de passe client] (ID/MPC) du 
protocole d'authentification connu de l'§tat de la technique, de sorte la 
connaissance directe ou indirecte de ce couple ne sera plus suffisante 
en soi pour obtenir Taccds au serveur. 

Selon une premiere variante du systdme, le site serveur 
comprend en outre des moyens de generation d'un mot de 
passe aieatoire ou pseudo-aieatoire, les moyens de synthdse vocale 
etant adaptes h emettre un message vocal destine au client via le 
reseau de teiephonie mobile comprenant ledit mot de passe aieatoire 
ou pseudo-aieatoire, le mot de passe d'authentification etant derive 
dudit mot de passe aieatoire ou pseudo-aieatoire. 

Ce mot de passe d'authentification peut correspondre au mot de 
passe aieatoire ou pseudo aieatoire transmis par le site serveur via le 
telephone ou bien §tre constitue dudit mot de passe aieatoire auquel 
est applique une cie connue du client et comprise dans la base de 
donnees d'authentification du serveur. La cie peut etre une constante 
connue et personnelle par exemple ajoutee ou retranchee pour obtenir 
le mot de passe serveur. II peut s'agir ausst d'une operation de logique, 
comme une permutation. 



Selon une seconde variante du systfeme, ie site client comporte 
en outre des moyens de cryptage du mot de passe client selon une cle 
de cryptage, Ie mot de passe client crypt6 obtenu correspond au mot 
de passe d'authentification et il est transmis au site serveur via Ie 
reseau de transmission de donn^es ; et 

- les moyens d'authentification du site serveur comportent en outre : 

- des moyens de reconnaissance d'un signal envoy§ par Ie client 
par les touches du t6l6phone mobile et correspondent d ladite c!^ 

de cryptage ; et 

- des moyens de decryptage du mot de passe client crypt6 a Taide de 
la cl§ de cryptage regue via Ie reseau de tel^phonie mobile. 

Dans cette seconde variante du syst^me, les touches du 
telephone mobile sont utilis§es pour transmettre au site serveur la c\6 
de cryptage. Les informations n^cessaires au protocple 
d'authentification sont transmises au site serveur via deux r^seaux 
diff^rents : Ie mot de passe client crypte par Ie reseau de transmission 
de donnees, par exemple Internet, et la cl6 de cryptage connue du 
client via Ie reseau de t6l6phonie mobile. 

La presente invention propose egalement un precede de 
securisation d'acc^s a uh serveur informatique mettant en oeuvre Ie 
systdme selon Tinvention, et plus particulierement la premiere variante 
de syst&me, ce proc6d6 comprenant les Stapes cotd site 
serveur consistant k : 

- demander au client utilisant Ie site client une donnee d'identification 
par rintermediaire du reseau de transmission de donnees ; 

rechercher ladite donnee dans une base de donnees 
d'authentification; 

- rechercher dans la base de donnee d'authentification Ie numSro de 
tilSphone mobile associS du client ; 

- appeler ledit num^ro de telephone mobile ; 

- en cas d'obtention de la communication avec Ie tSISphone mobile 
g6n6rer un mot de passe aleatoire ou pseudo-alSatoire ; 
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- emettre un message vocal comprenant ledit mot de passe aleatoire 
via le reseau de telephonic mobile ; 

- demander au client de foumir un mot de passe d'authentification 
d6riv6 dudit mot de passe al6atoire ou pseudo-aleatoire par 

5 I'lntermedialre du r6seau de transmission de donnees ; et 

- authentifier ledit mot de passe d'authentification. 

La presente invention propose egalement un proced^ de 
securisation d'acces a un serveur informatlque mettant en oeuvre le 
systdme selon I'invention, et plus particulidrement la seconde variante 
10 de systeme, comprenant les Stapes c6t6 site serveur consistent h : 

- demander au client une donnee d' identification par Tinterm^diaire du 
reseau de transmission de donnSes ; 

- rechercher dans la base de donnee d'authentification le numero de 
telephone mobile associe du client ; 

15 - appeler ledit numero de telephone mobile ; 

- en cas d'obtention de la communication avec le tSl^phone mobile, 
6mettre un message vocal demandant la cl6 de cryptage ; 

- authentification du mot de passe d'authentification comprenant : 

- la reconnaissance de la cle de cryptage transmise par le client 
20 via les touches du t6l6phone mobile ; 

- authentification du mot de passe d'authentification comprenant : 

- la reconnaissance de la cle de cryptage transmise par le client 
via les touches du telephone mobile ; 

- le decryptage du mot de passe d'authentification, 
25 correspondant au mot de passe client crypt6, li I'aide de ladlte cl6 de 

cryptage ; et 

- I'authentification du mot de passe client ; 

ledit precede comportant cote site client les 6tapes consistent a 
crypter le mot de passe client saisi par le client avant de I'envoyer via 
30 le reseau de transmission de donnees. 
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La connaissance seule ou le vol du contenu de la base de 
donnees d'authentification ne suffit pas pour permettre un acces 
malveillant. 

On pourra 6galement renforcer la s^curisation des proc^d^s 
5 selon Tinvention, en prSvoyant la d^sactivation automatique de racers 
au serveur des qu'un nombre predetermine de tentatives a ^chou^ h 
Tune quelconque des Stapes de saisie, et la possibilite de demander la 
desactivation immediate du telephone aupres du fournisseur de 
telephonie mobile. 

10 La pr^sente invention sera mieux comprise et d'autres avantages 

apparaTtront d la lumidre de la description qui va suivre de deux 
exemples de realisation du syst&me et des precedes associes selon 
rinvention, description faite en reference aux dessins annexes sur 
lesquels : 

15 - la figure 1 est un schema synoptique du premier exemple de 

realisation du systdme selon Tinvention ; 

- la figure 2 est un organigramme du procede d'authentification 
execute par ie serveur mettant en oeuvre le systdme de la figure 1 ; 

- la figure 3 montre schematiquement une page ecran generee 
20 par le serveur et utilisee par le client pour la transaction 

d'authentification du precede de la figure 2 ; 

- la figure 4 est un schema synoptique du second exemple de 
realisation du systSme selon I'invention ; 

- la figure 5 est un organigramme du procede d'authentification 
25 execute par le serveur mettant en oeuvre le systeme de la figure 4 ; et 

- la figure 6 montre schematiquement une page ecran generee 
par le serveur et utilisee par le client pour la transaction 
d'authentification du precede de la figure 5 ; 

Comme illustre schematiquement h la figure 1, un premier 
30 exemple de realisation du systeme selon I'invention comprend : 

- sur un site client 1, un ordinateur individuel 2 equipe d'un 
modem 3 pour acceder h un reseau de transmission de donnees 4 et 




-8- 



un telephone mobile 5 personnel, abonn6 k un r6seau de telephonie 
mobile 6, par exemple au standard GSM ; et 

- sur un site serveur 7, un serveur constitu6 d'un ordinateur 8 
sur lequel est charge un logicief adapts a g6rer le proced6 d'accds du 
5 client aux services 9 du serveur selon I'invention, notamment le 
protocole d'authentification du client ; I'ordinateur est equip6 d'un 
modem 10 lui permettant d'etablir une liaison avec le reseau de 
telephonie mobile 6 et d'appeler un num6ro de telephone, de moyens 
11 de generation d'un mot de passe ajeatoire ou pseudo-aleatoire 

10 MPA, et d'un circuit de synthese vocale 12 lui permettant de 
communlquer au telephone mobile 5 un message comprenant le mot de 
passe MPA genere aleatoirement necessaire au protocole 
d'authentification. L'ordinateur 8 est relie S une base de donnees 
d'authentification BDA comprenant pour cheque client repertorie un 

1 5 triplet [code d'identification ID / mot de passe client MPC/numero de 
telephone mobile personnel associe]. 

Le procede d'acces securise se deroule de la manidre suivante. 
Le client sur le site client 1 demande Taccds au serveur. La 
liaison entre le site client 1 et le site serveur 7 via le reseau de 

20 transmission de donnees 4 se fait de mani§re classique et connue en 
soi par Tintermediaire du modem 3 du site client 1, du reseau 
teiephonique commute, d'un fournisseur d'acces au reseau generaliste 
Internet et d'lnternet. 

En retour, le serveur affiche sur l'ordinateur individual 2 une 

25 page ecran 15, representee sur la figure 3, comprenant trois champs 
de saisie : les deux premiers champs 1 6 et 17 correspondent au couple 
classique [code d'identification ID et mot de passe client MPC], le 
troisieme champs 18 correspond d un mot de passe d'authentification 
MPAUT qui est derive du mot de passe al6atoire ou pseudo-aieatoire 

30 MPA qui sera communique par le serveur au site client 1 via le 
telephone mobile 5. Ce mot de passe d'authentification MPAUT 
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correspond ici au mot de passe aleatoire ou pseudo-aleatoire MPA 
gener6 par le serveur. 

Dans un premier temps, le client saisit son couple [code 
d'identification-mot de passe client] (ID/MPC) qui est d6ja securis6 par 
5 n'importe quel processus connu a partir de la base de donn^es 
d'authentification BDA. 

En se referent h I'organigramme de la figure 2, les Stapes 
suivantes du protocole, specifiques a la pr6sente invention, ne seront 
executees par le serveur qu'a la condition prealable que T^tape de 
1 0 contrdle identification / mot de passe client a T^tape 20 soit couronn^e 
de succds. 

Si tel est le cas, V6tape suivante 21 consists d composer le 
numSro du telephone mobile identifi^ grSce d la base de donn6es 
d'authentification BDA d Taide du modem 10. A I'etape suivante 22, si 

15 la communication t^lephonique avec le telephone mobile est obtenue 
(par exemple par I'indication du " d6crochage " par le modem 10 du 
site serveur), le serveur genere un mot de passe aleatoire MPA et 6met 
grace a son circuit de synthese vocale ce mot de passe MPA g6f\6r6 
vers le t6l6phone mobile 5. L'etape suivante 23 correspond k une 

20 6tape d'attente de la saisie du mot de passe d'authentification MPAUT 
par le client au niveau du site client pendant une duree limit^e 
predetermin^e (etape 24). Si d I'etape 25, le mot de passe MPAUT 
saisi est conforme, I'authentification est confirmee et le client peut 
acc^der aux services 9 du serveur. 

25 L'echec de Tauthentification intervient done dans les 

circonstances suivantes : 

- echec de I'authentification classique du couple [ID /MPC] ; 

- non-obtention de la communication avec le t^i^phone mobile ; 

- mauvaise ou absence d'entr6e du second mot de passe 
30 MPAUT dans le delai pr6d6termin6. 

Des variantes de realisation sont possibles, notamment 
concernant le mot de passe serveur d6riy6 du mot de passe aleatoire 
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MPA qui peut §tre constitu6 dudit mot de passe aleatoire MPA auquel 
est ajoutee une cl6 arithm6tique ou logique personnelle au client et 
comprise dans la base de donnees d'authentification BDA dans un 
champs supplementaire a ceux d6ja prevus pour le code d'identificatlon 
ID, le mot de passe client MPC et le numero de telephone mobile. Le 
serveur sera equipe de moyens lui permettant de recalculer le mot de 
passe genere MPA pour proceder a I'^tape d'authentification. 

Les figures 4^6 concernent un autre mode de rSalisatioh du 
systems salon {'invention se diff^renciant par le fait que le site client 1 
est ^quip4 en outre de moyens de cryptage 30 qui sont adaptes d 
crypter le mot de passe client MPC une fois celui-ci saisi par le client 
avant de I'envoyer via le reseau 4 de transmission de donn6es au site 
serveur 7. Du cote du site serveur, celui se differencie par des moyens 
de reconnaissance 31 d'un signal envoys par ie client via les touches 
de son telephone mobile personnel 5 et des moyens de d^cryptage 32 
adaptes k d^crypter le mot de passe client MPC selon une cl6 de 
cryptage qui est transmise par le client via les touches de son 
telephone mobile. La base de donnees d'authentification BDA ne 
comporte ici que deux champs contenant I'un le code ID et Tautre le 
mot de passe client MPC. Le protocole d'authentification apres 
decryptage correspond au protocole connu dans Tart anterieur. 

Le precede d'acces securise utilisant ce systdme se deroule de la 
maniere suivante. 

En reponse a une demande d'acces de la part du client utilisant 
ie site client 1, le serveur affiche sur I'ordinateur individuel 2 une page 
ecran 35 representee a la figure 6, ne comprenant par rapport au 
premier mode de realisation que deux champs de saisie 36 et 37 qui 
correspondent au couple classique [code d' identification ID et mot de 
passe client MPC], Immediatement apr^s la saisie du mot de passe 
client MPC, les moyens 30 cryptent le mot de passe client saisi selon 
une cl6 de cryptage connue seulement du client. Ce mot de passe 
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client crypt6 correspond au mot de passe dit d'authentification du 
precede selon rinvention. 

En se referant i rorganigramme de la figure 5, les etapes du 
protocole d'authentification se derouient de la maniere suivante. 
5 Dans un premier temps, ^ T^tape 40, le serveur, ayant regu \e 

mot de passe client crypto et le code ID, identifie le client ^ I'aide du 
code d' identification ID, puis a TStape 41, il recherche dans la base de 
donnees d'authentification BDA, le num^ro de telephone mobile. 
L'etape 42 suivante consiste a composer le num^ro du telephone 

10 mobile a Taide du modem 10. Si d Tetape suivante 43 la 
communication avec le telephone mobile est obtenue, le serveur 6met 
grSce di son circuit de synthase vocale 12 un message (Stape 45) 
signalant qu'il attend de la part du client la cle de cryptage via les 
touches du telephone mobile. L'etape 46 correspond a une ^tape 

15 d'attente de la ^saisie de cette cl^ pendant une dur^e limit^e 
predetermin6e. L'etape suivante 47 consiste § authentifier le mot de 
passe MPAUT recu via le reseau 4 par le decryptage de ce mot de 
passe avec la cle et Tauthentification du mot de passe client obtenu, 
conformement au protocole d'authentification. Si le mot de passe 

20 client MPC est conforme (etape 48), Tauthentification est confirmee et 
le client peut acceder aux services 9 offert par le serveur. 

L'^chec de Tauthentification interviendra done dans les 
circonstances suivantes : 

- non-obtention de la communication avec le telephone mobile ; et 
25 - mauvaise ou absence d'entr^e du mot de passe client MPC et de la 
cl^ de cryptage. 
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Revendications 



1 . Systeme d'acces securise h un serveur informatique, 
comportant: 

5 - un site client (1) comprenant des moyens d'acces (3) k un reseau de 
transmission de donnees (4) et una unite centrale de controle et de 
traitement de donnees (2) ; et 

- un site serveur (7) comprenant des moyens d'accds audit rSseau de 
transmission de donnees et une unitd centrale de commande et de 

1 0 traitement de donnees (8) pr^vue notamment pour g^rer un protocole 
d'authehtification du client utilisateur du site client, 
caract6rise en ce que : 

- le site client (1 ) comprend en outre un telephone mobile (5) ; et 

- le site serveur (7) comprend en outre : 

15 - des moyens de connexion (10) au reseau de tel^phonie mobile 
(6) dudit tSISphone mobile et d'appel d'un num^ro de tSISphone ; 

- une base de donnees d'authentification (BDA) comprenant une 
donn^e d'identification (ID/MPC) du client et un num^ro de telephone 
mobile associd ; 

20 - des moyens de synthase vocale ; et 

- des moyens d'authentification d'un mot de passe d'authentification 
(MPAU) re9u par ie site serveur via le reseau de transmission de 
donnees (4). 

25 2. Systdme selon la revendication 1 caractSris6 en outre en ce 
que le site serveur comprend des moyens de generation d'un mot de 
passe al^atoire ou pseudo-aleatoire (MPA), les moyens de synthase 
vocale ^tant adaptes a ^mettre un message vocal destine au client via 
le reseau de telephonie mobile comprenant ledit mot de passe al^atoire 

30 ou pseudo-aleatoire, le mot de passe d'authentification (MPAU) 6tant 
derive dudit mot de passe al^atoire ou pseudo-aleatoire (MPA). 
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3. Systeme selon la revendication 2, caract6ris6 en ce que le mot 
de passe d'authentification (IN/IPAU) correspond au mot de passe 
aleatoire ou pseudo-al^atoire (MPA) genere par le serveur et 

5 communique via le telephone mobile. 

4. Systeme selon la revendication 2 ou 3, caract6ris6 en ce que le 
mot de passe d'authentification (MPAU) est constitue par le mot de 
passe aleatoire ou pseudo-al6atoire (MPA) genere par le serveur et 

10 communique via le telephone mobile auquel est appliquee une cle 
connue du client et comprise dans la base de donnee d'authentification 
(BDA) du serveur. 

5. Systeme selon Tune des revendications 2 a 4, caract^ris^ par 
15 des moyens de contrdle de la donnee d'identification. 

6. Systeme selon la revendication 5, caracterise en ce que la 
donnee d'identification est constituee par un couple [code 
d'identification / mot de passe client] (ID,IVIPC) compris dans la base 

20 de donnee d'authentification du serveur. 

7. Systdme selon I'une des revendications 2 a 6, caracterise en ce 
qu'il comporte des moyens de temporisation pour limiter dans le temps 
la possibilite de transmission pour le site client du mot de passe 

25 d'authentification (MPAU). 

8. Systeme selon la revendication 6 ou 7, caracteris^ en ce que la 
base de donnSes d'authentification (BDA) comprend pour chaque client 
quatre champs : 

30 - un champs comprenant le code d'identification (ID) ; 
- un champs comprenant le mot de passe client (MPC) ; 
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- un champs comprenant le num6ro de telephone mobile du client ; et 

- un champs comprenant la cl6. 

9. Systeme selon la revendication 1, caracterise en ce que : 

5 - le site client comporte des moyens de cryptage du mot de passe 
client (MPC) selon une c\6 de cryptage, le mot de passe client crypt6 
obtenu correspond au mot de passe d'authentification (MPAUT) et il 
est transmis au site serveur via le r^seau de transmission de 
donn^es (4) ; et 

10 - les moyens d'authentification du site serveur comportent en outre : 

- des moyens de reconnaissance d'un signal envoy6 par le client 
par les touches du telephone mobile et correspondent h ladite cle 
de cryptage ; et 

- des moyens de d^cryptage du mot de passe client crypte k 
15 Taide de la cle de cryptage re9ue via le r^seau de t^l^phonie 

mobile (6). 

10. Systdme selon la revendication 9, caract^risS en ce qu'ii 
comporte des moyens de temporisation pour limiter dans le temps la 

20 possibilite de transmission pour le client de la cle de cryptage via les 
touches du t6l6phone mobile. 



'11! Precede de securisation d'acces a un serveur informatique (7), 
mettant en oeuvre un systeme selon Tune des revendications 1 a 8, 
25 comprenant les Stapes cote site serveur consistent k : 

- demander au site client une donn^e d'identification (ID,MPC) par 
rinterm6diaire du rSseau de transmission de donnSes (4) ; 

- rechercher ladite donnee (ID, MPC) dans une base de donnSes 
d'authentification (BDA) ; 

30 - rechercher dans la base de donnee d'authentification (BDA) le num^ro 
de telephone mobile associe du client ; 
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- appeler ledit numero de telephone mobile ; 

- en cas d'obtention de la communication avec le telephone mobile 
generer un mot de passe aleatoire ou pseudo-a!6atoire (MPA) ; 

- emettre un message vocal comprenant ledit mot de passe aleatoire 
5 (MPA) via le reseau de tSISplionie mobile (6) ; 

- demander au client de foumir un mot de passe d'authentification 
(MPAUT) d6riv6 dudit mot de passe aleatoire ou pseudo-al^atoire 
(MPA) par I'intermidiaire du reseau de transmission de donn^es (4) ; et 

- authentifier ledit mot de passe d'authentification (MPAUT). 

10 

1 2. Precede seion la revendication 1 1 , caract^ris^ en ce que le mot 
de passe d'authentification (MPAUT) correspond au mot de passe 
aleatoire ou pseudo-al^atoire (MPA) g^n^r^ par le serveur et 
communique via le telephone mobile. 

15 

13, Proc6d6 selon la revendication 11, caract^ris^ en ce que le mot 
de passe d'authentification (MPAUT) est constitu6 par le mot de passe 
aleatoire ou pseudo-aleatoire (MPA) genere par le serveur et 
communique via le telephone mobile, auquel est appliqu6e une c\6 

20 connue du client et comprise dans la base de donn^e d'authentification 
du serveur (BDA), I'etape d'authentification comportant une etape de 
conversion dudit mot de passe d'authentification en mot de passe 
aleatoire ou pseudo-aldatoire (MPA) par application de ladite cl6. 

25 14. Precede selon Tune quelconque des revendications 11 h 13, 
caracterise par une Stape de controle de la donn^e d'identification 
(ID,MPC) prealable ^ I'appel du numero de telephone mobile. 
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15. Proc^de selon la revendication 14, caracterise en ce que la 
donnee d'identification demandee au client est un couple [code 
d'identification / mot de passe client] (ID/MPC). 
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16- Proced6 selon Tune des revendications pr^cedentes, caract^risS 
en ce que Tetape qui consiste h demander au client le mot de passe 
d'authentification (MPAUT) se d6roule pendant une dur6e 
5 pr^determin^e au dela de laquelle rauthentification est refusSe. 

17. Procede de securisation d'acces a un serveur informatique (7), 
mettant en oeuvre un systeme selon Tune des revendications 1, 9 ou 
1 0, comprenant les Stapes c6t6 site serveur consistent ^ : 

10 - demander au client une donn^e d'identification (ID) par I'lntermSdiaire 
du r^seau de transmission de donnSes (4) ; 

- rechercher dans la base de donn^e d'authentification (BDA) le numero 
de telephone mobile associe du client ; 

- appeler ledit numero de telephone mobile ; 

15 - en cas d'obtention de la communication avec le telephone mobile, 
^mettre un message vocal demandant la cl^ de cryptage ; 

- authentification du mot de passe d'authentification (MPAUT) 
comprenant : 

- la reconnaissance de la cl^ de cryptage transmise par le client 
20 via les touches du t^lSphone mobile ; 

- le decryptage du mot de passe d'authentification (MPAUT), 
correspondent au mot de passe client crypto, d I'aide de ladite cie de 
cryptage ; et 

- rauthentification du mot de passe client (MPC) ; 

25 ledit procSd^ comportant c6t^ site client les Stapes consistent § 

crypter le mot de passe client (MPC) saisi par le client avant de 
Tenvoyer via le reseau de transmission de donnees (4). 

18. Procede selon la revendication 17, caract6ris6 en ce que T^tape 
30 qui consiste i receptionner le signal representatif de la cle de cryptage 

se deroule pendant une dur^e pred^terminde au dela de laquelle 
rauthentification est refuses. 



3 / 5 



ID X X X X X xxxx 



Y 



16 
17 



1 }|c }|c :|c }|c }|C)|c }|: 


1 (OKJ 




%%%% 


( OK \ 



■18 



FIG.3 



ID 





xxxxxxxxx 
















( OKJ) 



FIG.6 



( DEBUT ) 



5/5 



IDENTIFICATION 
DU CLIENT 



40 



RECHERCHE N' TEL 
DANS BOA 

T 



41 




ENVOI MESSAGE 
VOCAL DEMANDANT U 
CLE DE CRYPTABE 



I 



ATTENTE CLE 
VIA TOUCHES TEL 
MOBILE 



AUTHENTIFICATION 
MPAUT 



ACCESOK 



44 



45 





FIG.5 



ACCES REFUSE 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 



Defective images within this document are accurate representations of the original 
documents submitted by the appHcant. 



Defects in the images include but are not limited to the items checked: 

□ BLACK BORDERS 

□ IMAGE CUT OFF AT TOP, BOTTOM OR SroES 



y/FADED TEXT OR DRAWING 

□ BLURRED OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: ■ 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



BEST AVAILABLE IMAGES 




'«'s Page Blank (usp 



i 



